« Des développeurs codent imprudemment leurs codes d’accès dans des applications mobiles qui utilisent l’API [connecteur logiciel, ndlr] ou le SDK [kit de développement] Twilio Rest », a expliqué Appthority dans une contribution blog datée du 9 novembre.

Cette vulnérabilité offre la possibilité à des pirate d’accéder aux méta-données de leurs comptes Twilio (fournisseur de modules d’outils de communication pour apps mobiles), incluant les SMS, les informations portant sur les appels téléphoniques et les enregistrements des échanges vocaux.

Selon Appthority, au moins 685 applications d’entreprise sont concernées (44% Android, 56% iOS), dont 170 étaient encore proposées dans les app stores d’Apple et Google fin août.

À elles seules, les applications Android rendues vulnérables par cette faille auraient été téléchargées plus de 180 millions de fois, évoque l’éditeur dans un billet de blog.

Une fausse application WhatsApp est parvenue à passer les filtres de sécurité du store Google Play. Quelles conséquences pour les victimes ?

Les chercheurs de sécurité de l'entreprise Symantec ont détecté un nouveau malware sévissant sur le système au petit robot vert, qui transformait les mobiles des utilisateurs en petit soldat d'un botnet maléfique.

Décryptage de la menace qui pèse sur le Wi-Fi

Un présumé défaut de sécurité sur le système d’affichage des notifications d’Android peut inciter un détenteur d’un terminal à installer un malware coriace à son insu.

Si les systèmes de reconnaissance vocale dotés d’algorithmes d’intelligence artificielle (IA) sont supposés assister leurs utilisateurs au quotidien, ils pourraient bien se transformer en complice des pirates. Des chercheurs ont découvert comment piloter les Siri, Google Assistant/Now, Alexa et autre Cortana à l’aide d’ultrason, une fréquence inaudible pour l’oreille humaine.

Informations personnelles en vente sur le darknet

Très utilisés aux Etats-Unis, notamment en marque blanche par les fournisseurs d’accès comme AT&T, plusieurs modem-routeurs Arris sont affectés de cinq failles de sécurité majeures.

La plupart permettent de prendre le contrôle du boîtier et de le transformer, par exemple, en machine à spam ou à détourner les connexions.

[...]

Pas moins de 220 000 boîtiers Arris sont concernés par une des failles, selon les experts en sécurité.

90% des entreprises attaquées par des failles de plus de 3 ans

Et 60% des entreprises subissent des tentatives d’intrusion à base de vulnérabilités vielles de 10 ans.

Le FBI demande aux entreprises privées américaines de cesser d’utiliser l’antivirus de l’éditeur russe Kaspersky.

Dans un communiqué publié hier, la société a indiqué que désormais, elle paierait jusqu’à un demi million de dollars pour des exploits fonctionnels (prise de contrôle à distance et élévation de privilèges) sur : WeChat, Viber, Facebook Messenger, WhatsApp, Telegram, Signal et iMessage. Ce niveau de rémunération parmi les plus élevées du programme accompagne la montée en puissance des usages des messageries mobiles et l’intérêt pour les Etats ou les cybercriminels de s’attaquer à ces services. Zerodium justifie le montant de la récompense, par le fait que « la majorité des bug bounty (programme de recherche de bug) récompense mal la découverte de vulnérabilités ou la création de POC (prototype, NDLR)».

Le groupe de pirates, APT28, utilise la faille de WannaCry pour pirater le WiFi de plusieurs hôtels en Europe et voler des données clients.

A la mi-août, Google Play et son catalogue d’apps ont servi de levier pour une importante attaque DDoS par botnet, qui a attiré la curiosité des experts de sécurité IT à plus d’un titre.

[...]

Celui-ci s’est appuyé sur la connexion de plusieurs centaines de milliers de terminaux Android pour lancer des attaques par déni de service distribué (DDoS).

Des apps infectées sur Google Play (player média, stockage de fichier, téléchargement de sonneries…) ont été utilisées pour mener l’assaut dans une configuration rarement signalée jusqu’ici